アカウント名:
パスワード:
この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。
# 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。 # 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。 # この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。
docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。
>この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。何が解決するのでしょうか。
A. 当事者B. APへの正当なアクセス権を持つ他者 (=公衆無線LANのユーザー)C. APへのアクセス権を持たない他者
AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。WindowsやMacで、無線LANアダプタのpromiscuousモードが、デバイスドライバレベルで禁止されているのはそのためです。
AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。 Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。
確かに、Wireshark [osdn.jp]などを使い、promiscuous mode でパケットキャプチャーをすれば、流れてくる IEEE802.11 のデータフレームを入手できます。しかし、パケットヘッダーなどを除いたメインの部分は、WPA2-EAP ですから当然暗号化されています。
もし、一般家庭で用いられている WPK2-PSK であれば、実際に暗号化に使われるテンポラリキーは、マスターキー(一般に無線LANルーターとパソコンに設定するAESキー)、MACアドレス、乱数の3つから生成されます。「APへの正当なアクセス権を持つ他者」であれば、マスターキーは知っています。MACアドレスと乱数は、4Way-Handshakeで平文でやり取りされますから、最初の接続や鍵更新のタイミングの通信を傍受できれば、3つの要素が全て揃いますので、テンポラリキーを生成して通信を復号することができるでしょう。
しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。
上記の部分に補足します。
「APへの正当なアクセス権を持つ他者」が、通信内容を復号することができない理由については、ネットワーク入門サイト - 企業向け無線LAN [beginners-network.com] をご覧下さい。大変分かりやすく解説されています。
一言で説明しますと、SSL とほぼ同じ理由です。公開鍵暗号方式と、認証局が署名したデジタル証明書が使われています。
認証局は、SSLとかで使われているものを使うの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
アクセスポイント管理者が WPA2-EAP に対応させれば解決 (スコア:3, 参考になる)
この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。
# 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。
# 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。
# この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。
docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。
Re: (スコア:0)
>この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
何が解決するのでしょうか。
A. 当事者
B. APへの正当なアクセス権を持つ他者 (=公衆無線LANのユーザー)
C. APへのアクセス権を持たない他者
AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。
Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。
WindowsやMacで、無線LANアダプタのpromiscuousモードが、デバイスドライバレベルで禁止されているのはそのためです。
Re:アクセスポイント管理者が WPA2-EAP に対応させれば解決 (スコア:3)
確かに、Wireshark [osdn.jp]などを使い、promiscuous mode でパケットキャプチャーをすれば、流れてくる IEEE802.11 のデータフレームを入手できます。しかし、パケットヘッダーなどを除いたメインの部分は、WPA2-EAP ですから当然暗号化されています。
もし、一般家庭で用いられている WPK2-PSK であれば、実際に暗号化に使われるテンポラリキーは、マスターキー(一般に無線LANルーターとパソコンに設定するAESキー)、MACアドレス、乱数の3つから生成されます。「APへの正当なアクセス権を持つ他者」であれば、マスターキーは知っています。MACアドレスと乱数は、4Way-Handshakeで平文でやり取りされますから、最初の接続や鍵更新のタイミングの通信を傍受できれば、3つの要素が全て揃いますので、テンポラリキーを生成して通信を復号することができるでしょう。
しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。
補足 (スコア:2)
上記の部分に補足します。
「APへの正当なアクセス権を持つ他者」が、通信内容を復号することができない理由については、ネットワーク入門サイト - 企業向け無線LAN [beginners-network.com] をご覧下さい。大変分かりやすく解説されています。
一言で説明しますと、SSL とほぼ同じ理由です。公開鍵暗号方式と、認証局が署名したデジタル証明書が使われています。
Re: (スコア:0)
認証局は、SSLとかで使われているものを使うの?